Microsoft se demande si une fuite de son programme Microsoft Active Protections (MAPP) - un système d'alerte précoce pour les partenaires de cybersécurité - peut-être permis aux pirates chinois d'exploiter les vulnérabilités non corrigées dans son logiciel SharePoint Server.
Le dernier patch de la société technologique n'a pas réussi à résoudre pleinement une faille critique, exposant les systèmes du géant de la technologie à une campagne mondiale de cyber-espionnage sophistiquée.
Dans un article de blog mardi, Microsoft a déclaré que l'exploitation était effectuée par deux groupes affiliés à l'État chinois, Linen Typhoon et Violet Typhoon, aux côtés d'un troisième groupe, qui serait également basé en Chine.
Microsoft sondes soupçonnées de fuite du programme de partenaires de cybersécurité
La société examine maintenant si les détails de son programme MAPP - partagés avec des partenaires avant les communiqués de correctifs publics - peuvent avoir été divulgués, accélérant la propagation de ces attaques.
Microsoft a confirmé qu'il «évalue continuellement l'efficacité et la sécurité de tous nos programmes partenaires et apporte les améliorations nécessaires au besoin».
La vulnérabilité SharePoint a été révélée pour la première fois en mai lorsque le chercheur vietnamien en matière de sécurité Dinh Ho Anh Khoa l'a démontré lors de la conférence de cybersécurité PWN2OWN à Berlin, organisée par l'initiative Zero Day de Trend Micro. Khoa a obtenu 100 000 $ et Microsoft a publié un correctif initial en juillet.
Cependant, Dustin Childs, responsable de la sensibilisation aux menaces chez Trend Micro, a déclaré que les partenaires MAPP avaient été informés de la vulnérabilité sur trois vagues - 24 juin, 3 juillet et le 7 juillet. CoincidentAlly, Microsoft a noté que les premières tentatives d'exploitation ont commencé le 7 juillet.
Childs a suggéré que le scénario le plus probable est que «quelqu'un dans le programme MAPP a utilisé ces informations pour créer les exploits». Bien qu'il n'ait nommé aucun vendeur, il a noté que les tentatives d'exploitation provenaient principalement de la Chine, ce qui rend «raisonnable de spéculer» que la fuite provenait d'une entreprise de cette région.
Les pirates chinois à dos de l'État exploitent la vulnérabilité non corrigée de SharePoint
Ce n'est pas la première fois que Microsoft traite de ce type de fuite liée à MAPP. Il y a une décennie, la firme a largué Hangzhou Dptech Technologies Co., Ltd. pour avoir violé son accord de non-divulgation. Microsoft a admis à l'époque qu'il y avait des risques et comprenait que les données vulnérables pouvaient être abusées.
Le programme MAPP, qui a fait ses débuts en 2008, était destiné à fournir aux fournisseurs de sécurité un préavis des détails techniques des vulnérabilités - et, à l'occasion, un échantillon de code de preuve de concept - afin qu'ils puissent mieux protéger leurs clients. Une violation divulguée maintenant volerait directement face à la mission du programme - les défenseurs empêchants, et non les attaquants.
Microsoft n'a pas révélé si elle avaitdentla source de la fuite, mais a souligné que toute violation de la NDA serait prise au sérieux.
Les violations passées refont surface alors que Microsoft Reconsiders MAPP Program Integrity
En 2021, Microsoft soupçonnait au moins deux autres partenaires de MAPP chinois de la divulgation d'informations sur les vulnérabilités dans ses serveurs d'échange. Cela a conduit à une campagne de piratage mondiale que Microsoft a attribuée à un groupe d'espionnage chinois appelé Hafnium. C'était l'une des pires violations de l'entreprise de tous les temps - des dizaines de milliers de serveurs d'échange ont été piratés, notamment à la European Banking Authority et au Parlement norvégien.
Après l'incitation de 2021 dent la société a envisagé de réviser le programme MAPP . Mais il n'a pas révélé si des modifications ont finalement été apportées, ni si des fuites ont été découvertes.
En vertu d'une loi chinoise en 2021, les entreprises et les chercheurs en sécurité doivent signaler des vulnérabilités nouvellement découvertes au ministère de l'Industrie et des Technologies de l'information dans les 48 heures, selon un rapport du Conseil de l'Atlantique. Certaines entreprises chinoises toujours impliquées dans MAPP, comme Pékin Cyberkunlun Technology Co Ltd., participent également à la base de données nationale de la vulnérabilité chinoise - par le ministère de la Sécurité de l'État - sur les préoccupations supplémentaires concernant les obligations de double rapport.
Eugenio Benincasa, chercheur au Centre for Security Studies d'ETH Zurich, souligne le manque de transparence dans la façon dont les entreprises chinoises concilient les règles dedentde Microsoft avec les mandats de déclaration de l'État. "Nous savons que certaines de ces entreprises travaillent avec des agences de sécurité, et la gestion de la vulnérabilité de la Chine est hautement centralisée", a-t-il déclaré. «Il s'agit d'un domaine qui a clairement besoin d'un examen minutieux.»
Cryptopolitan Academy: Vous voulez développer votre argent en 2025? Apprenez à le faire avec DeFi dans notre prochaine webclass. Enregistrez votre place
